Cyber-Resilienz ist Chefsache – Cyber resilience for CEOs

Trotz der beträchtlichen Anstrengungen von IT- und Sicherheitsteams, die Organisationen vor Cyberangriffen und IT-Ausfällen schützen sollen, müssen sich Unternehmen heute mehr denn je auf unvermeidbare Cyberereignisse einstellen – sei es ein Cyberangriff, ein Stromausfall oder Schlimmeres. Führungskräfte sollten demnach in eine Cyber-Resilienz-Strategie investieren, die ihre Organisationen auf derartige Ausfälle vorbereitet. Dabei sollte es neben der Abwehr von Angriffen auch darum gehen, die Auswirkungen potenziell erfolgreicher Attacken abzufedern und somit eine vorausschauende Schadensbegrenzung zu betreiben.“

Cyber-Resilienz ist noch keine Priorität

Ende 2024 führte Zscaler eine Umfrage unter 1.700 IT-Führungskräften in 12 globalen Märkten durch, um den Ist-Zustand der Cyber-Resilienz in Unternehmen zu ermitteln. Die Ergebnisse der Studie zeigen eine große Diskrepanz zwischen dem Vertrauen in die eigene Cyber-Resilienz und der Effektivität aktueller Sicherheitsansätze auf. Obwohl die Befragten die wachsende Bedeutung eines robusten Cyber-Resilienz-Ansatzes erkannt haben, waren in Deutschland nur 33 Prozent der Meinung, dass dies für die Geschäftsführung oberste Priorität hat. Hinzu kommt, dass hierzulande mehr als die Hälfte der Befragten der Meinung ist, dass die Höhe der finanziellen Investitionen in Cyber-Resilienz nicht dem steigenden Bedarf entspricht. Die Beweislage für die Dringlichkeit ist dabei erdrückend.

Fast zwei Drittel (63 Prozent) der IT-Führungskräfte in Deutschland gehen davon aus, dass ihr Unternehmen in den nächsten zwölf Monaten ein bedeutendes Ausfallszenario erleben wird. Mehr als die Hälfte hat in den letzten sechs Monaten bereits einen solchen Vorfall erlebt. Obwohl die Bedrohung durch KI-basierte Cyberangriffe erkannt wird, geben nur 46 Prozent der IT-Führungskräfte an, dass ihre Cyber-Resilienz-Strategie mit der Entwicklung Schritt hält und dementsprechend aktualisiert wurde. Erschwerend kommt hinzu, dass 45 Prozent der Befragten in Deutschland zugaben, ihre Cyber-Resilienz-Strategie in den letzten sechs Monaten nicht überprüft zu haben.

Ohne Unterstützung auf Vorstandsebene und dem erforderlichen Verständnis für die potenziellen Auswirkungen einer vernachlässigten Cyber-Resilienz-Strategie werden IT-Teams immer das Nachsehen haben. Nur mit Investitionen in moderne Technologie sind Sicherheitsteams in der Lage, alle Sicherheitslücken und Schwachstellen in ihrem Unternehmen aufzuspüren und eine nachhaltige, proaktive Cyber-Resilienz-Strategie im Einklang mit der allgemeinen Unternehmensstrategie zu forcieren. Dabei sollten die Verantwortlichen auf organisationsübergreifende Strategien setzen. Isolierte Ansätze einzelner Abteilungen sind nicht zielführend und könnten Ausfallszenarien herbeiführen, die sich unternehmensweit ausbreiten.

Der Weg zu einem Resilient by Design-Ansatz

Um das wachsende Risiko mangelhafter Cyber-Resilienz zu minimieren, muss in übergreifende Transparenz und Kontrollfunktionalität investiert werden. Dies wird durch einen „Resilient by Design“-Ansatz ermöglicht, der mit Hilfe einer modernen Zero Trust-Architektur umgesetzt werden kann.

Ein solcher Ansatz beseitigt die Komplexität der IT- und Cybersicherheit für IT-Teams. In diesem gewachsenen Wildwuchs liegen die größten Hürden der Cyber-Resilienz. Eine Zero Trust-Architektur beseitigt Abhängigkeiten von herkömmlichen Firewalls und VPNs, die heute noch zu den größten Angriffsflächen von Unternehmen beitragen. Durch eine Cloud-basierte Zero Trust-Plattform lassen sich der Sicherheitsbetrieb rationalisieren und gleichzeitig die Infrastrukturkosten senken. Außerdem können sich IT-Teams auf strategische Initiativen konzentrieren, anstatt veraltete Sicherheitskontrollen aufrechtzuerhalten.

Es geht bei einem Resilient by Design-Ansatz nicht ausschließlich darum, die technische Komplexität zu verringern. Es gilt vielmehr, auch auf der Führungsebene ein proaktives Verständnis für Cybervorfälle zu entwickeln. Es spielt nicht nur das Vorhandensein von Sicherheitsvorkehrungen eine Rolle. Führungskräfte sollten ebenfalls mindestens zweimal im Jahr Notfallübungen ansetzen zum Test der vorhandenen Maßnahmen. Nur durch die Übung für den Ernstfall kann sichergestellt werden, dass alle Beteiligten ihre Rollen und Verantwortlichkeiten im Krisenfall verstehen und die Kommunikationsprotokolle und Handlungsweisen kennen, um Ausfallzeiten auf ein Minimum zu reduzieren.

Durch diese regelmäßigen Übungen werden etwaige Unklarheiten und Mängel aufgedeckt, so dass sie noch vor einem echten Vorfall beseitigt werden können. Durch das Einplanen von Ausfallszenarien versetzt die Führungsriege ihre IT-Funktionen in die Lage der schnellen Reaktionsfähigkeit. Einblick in mögliche Ursachen für Ausfallszenarien, das Aufdecken von Schutzlücken oder Fehlkonfigurationen oder risikobehaftetes Verhalten von Usern durch Risk Hunting trägt dazu bei, Auswirkungen realer Angriffe oder Vorfälle schnellstmöglich zu beseitigen und den Betrieb aufrechtzuerhalten.

Vorbereitung auf den Ernstfall

Führungskräfte müssen nicht nur angesichts einer unsicheren Wirtschaftslage der Cyber-Resilienz Priorität einräumen. Es gilt sicherzustellen, dass vorbeugende Maßnahmen angemessen finanziert und in alle Ebenen des Unternehmens integriert sind. Eine „Resilient by Design“-Architektur ermöglicht es Unternehmen, über den traditionellen Ansatz des Erkennens und Reagierens auf Bedrohungen hinauszugehen. Sie stattet IT-Teams mit den notwendigen Tools für eine schnelle Eindämmung von Ereignissen aus, ermöglichen eine effektive Reaktion und minimale Unterbrechung durch Ausfallszenarien. Denn es ist heute keine Frage mehr, ob sondern wann der nächstgrößere Vorfall eintritt. Darauf gilt es vorbereitet zu sein.

Despite considerable efforts by IT and security teams to protect organizations from cyberattacks and IT outages, companies must be more prepared than ever for unavoidable cyber events, such as cyberattacks and power outages. Executives should therefore invest in a cyber resilience strategy that prepares their organizations for such events. In addition to defending against attacks, this strategy should also mitigate the impact of successful attacks and engage in proactive damage control.

Cyber resilience is not yet a priority

At the end of 2024, Zscaler surveyed 1,700 IT executives in 12 global markets to determine the current state of cyber resilience in companies. The study’s results reveal a significant discrepancy between confidence in one’s cyber resilience and the effectiveness of current security approaches. While respondents recognized the growing importance of robust cyber resilience, only 33% of those in Germany believed it was a top management priority. Additionally, over half of the respondents in Germany believe that the level of financial investment in cyber resilience does not meet the growing demand. The evidence for the urgency of the situation is overwhelming.

Nearly two-thirds (63%) of IT executives in Germany expect their company to experience a significant outage within the next twelve months. More than half have already experienced such an incident in the last six months. Although the threat of AI-based cyberattacks is recognized, only 46 percent of IT executives say their cyber resilience strategy keeps pace with developments and has been updated accordingly. To make matters worse, 45 percent of German respondents admitted that they had not reviewed their cyber resilience strategy in the last six months.

Without executive-level support and understanding of the potential impact of a neglected cyber resilience strategy, IT teams will always be at a disadvantage. Security teams can only detect all security gaps and vulnerabilities in their organization and push for a sustainable, proactive cyber resilience strategy in line with the overall corporate strategy by investing in modern technology. Those responsible should focus on cross-organizational strategies. Isolated approaches by individual departments are ineffective and could lead to failure scenarios that spread across the entire company.

The path to a resilient-by-design approach

To minimize the growing risk of inadequate cyber resilience, investments must be made in comprehensive transparency and control functionality. A “resilient by design” approach can be implemented with the help of a modern zero trust architecture to make this possible.

A Resilient by Design approach is not just about reducing technical complexity. Rather, it is about fostering a proactive understanding of cyber incidents among management. The existence of security measures alone is not enough. Managers should also schedule emergency drills at least twice a year to test these measures. Only through practicing for emergencies can you ensure that everyone involved understands their roles and responsibilities in a crisis and knows the communication protocols and procedures to minimize downtime.

These regular exercises reveal any ambiguities and deficiencies so they can be eliminated before a real incident occurs. By planning for outage scenarios, management enables its IT functions to respond quickly. Insight into possible causes of outages, security gaps, misconfigurations, and risky user behavior gained through risk hunting helps eliminate the effects of real attacks or incidents quickly and maintain operations.

Preparing for an emergency

Managers must prioritize cyber resilience, not only in the face of an uncertain economic situation. It is crucial to ensure that preventive measures are adequately funded and integrated at all levels of the company. A „resilient by design“ architecture enables companies to surpass the traditional approach of detecting and responding to threats. This architecture provides IT teams with the necessary tools to swiftly contain incidents, facilitate an effective response, and minimize disruption from outage scenarios. Today, it is no longer a question of if, but when, the next major incident will occur. It is crucial to be prepared.